9Jul
Die Router-Sicherheit des Kunden ist ziemlich schlecht. Angreifer nutzen den Mangel an Herstellern und greifen große Mengen von Routern an. So prüfen Sie, ob Ihr Router kompromittiert wurde.
Der Home-Router-Markt ist dem Android-Smartphone-Markt sehr ähnlich. Die Hersteller produzieren eine große Anzahl verschiedener Geräte und kümmern sich nicht darum, sie zu aktualisieren, so dass sie Angriffen ausgesetzt sind.
Wie Ihr Router der dunklen Seite beitreten kann
Angreifer versuchen häufig, die DNS-Servereinstellung auf Ihrem Router zu ändern und sie auf einen bösartigen DNS-Server zu richten. Wenn Sie versuchen, eine Verbindung zu einer Website herzustellen, z. B. auf der Website Ihrer Bank, werden Sie vom bösartigen DNS-Server aufgefordert, stattdessen eine Phishing-Site aufzurufen. In Ihrer Adressleiste steht möglicherweise noch bankofamerica.com, Sie befinden sich jedoch auf einer Phishing-Website. Der bösartige DNS-Server reagiert nicht unbedingt auf alle Abfragen. Es kann bei den meisten Anfragen einfach eine Zeitüberschreitung verursachen und dann Abfragen an den Standard-DNS-Server Ihres Internetdienstanbieters umleiten. Ungewöhnlich langsame DNS-Anfragen sind ein Zeichen dafür, dass Sie eine Infektion haben.
Scharfäugige Personen werden bemerken, dass eine solche Phishing-Site keine HTTPS-Verschlüsselung hat, aber viele Leute würden es nicht bemerken. SSL-Stripping-Angriffe können sogar die Verschlüsselung bei der Übertragung entfernen.
Angreifer können auch nur Werbung einschleusen, Suchergebnisse umleiten oder versuchen, Drive-by-Downloads zu installieren. Sie können Anfragen für Google Analytics oder andere Skripts erfassen, die fast jede Website verwendet, und sie an einen Server weiterleiten, der ein Skript bereitstellt, das stattdessen Anzeigen einfügt. Wenn Sie auf einer legitimen Website wie How-To Geek oder der New York Times pornografische Werbung sehen, sind Sie fast sicher mit etwas infiziert - entweder auf Ihrem Router oder Ihrem Computer selbst.
Viele Angriffe nutzen Cross-Site Request Forgery( CSRF) Angriffe. Ein Angreifer bettet bösartiges JavaScript in eine Webseite ein, und JavaScript versucht, die webbasierte Verwaltungsseite des Routers zu laden und Einstellungen zu ändern. Da JavaScript auf einem Gerät in Ihrem lokalen Netzwerk ausgeführt wird, kann der Code auf die Webschnittstelle zugreifen, die nur in Ihrem Netzwerk verfügbar ist.
Einige Router können ihre Remote-Administrationsschnittstellen zusammen mit Standard-Benutzernamen und Passwörtern aktiviert haben - Bots können im Internet nach solchen Routern suchen und Zugriff erhalten. Andere Exploits können andere Routerprobleme ausnutzen. UPnP scheint beispielsweise auf vielen Routern anfällig zu sein.
So überprüfen Sie
Das einzige verräterische Zeichen, dass ein Router kompromittiert wurde, ist, dass sein DNS-Server geändert wurde. Sie sollten die webbasierte Benutzeroberfläche Ihres Routers besuchen und die DNS-Servereinstellung überprüfen.
Zuerst müssen Sie auf die webbasierte Einrichtungsseite Ihres Routers zugreifen.Überprüfen Sie die Gateway-Adresse Ihrer Netzwerkverbindung oder konsultieren Sie die Dokumentation Ihres Routers, um herauszufinden, wie.
Melden Sie sich bei Bedarf mit dem Benutzernamen und dem Passwort Ihres Routers an. Suchen Sie nach einer "DNS" -Einstellung, häufig auf dem Bildschirm mit den WAN- oder Internetverbindungseinstellungen. Wenn es auf "Automatisch" eingestellt ist, ist das in Ordnung - es erhält es von Ihrem ISP.Wenn es auf "Manuell" gesetzt ist und dort benutzerdefinierte DNS-Server eingetragen sind, könnte das sehr wohl ein Problem sein.
Es ist kein Problem, wenn Sie Ihren Router so konfiguriert haben, dass er gute alternative DNS-Server verwendet - z. B. 8.8.8.8 und 8.8.4.4 für Google DNS oder 208.67.222.222 und 208.67.220.220 für OpenDNS.Aber wenn dort DNS-Server sind, die Sie nicht erkennen, ist das ein Zeichen, dass Malware Ihren Router zur Verwendung von DNS-Servern geändert hat. Führen Sie im Zweifelsfall eine Websuche nach den DNS-Serveradressen durch, um festzustellen, ob sie legitim sind oder nicht. Etwas wie "0.0.0.0" ist in Ordnung und bedeutet oft nur, dass das Feld leer ist und der Router stattdessen automatisch einen DNS-Server erhält.
Experten empfehlen, diese Einstellung gelegentlich zu überprüfen, um festzustellen, ob Ihr Router kompromittiert wurde oder nicht.
Hilfe, Es gibt einen bösartigen DNS-Server!
Wenn hier ein bösartiger DNS-Server konfiguriert ist, können Sie ihn deaktivieren und Ihrem Router mitteilen, dass er den automatischen DNS-Server von Ihrem ISP verwenden oder die Adressen von legitimen DNS-Servern wie Google DNS oder OpenDNS hier eingeben soll.
Wenn hier ein bösartiger DNS-Server eingetragen ist, möchten Sie möglicherweise alle Einstellungen Ihres Routers löschen und ihn vor der Wiederherstellung wieder zurücksetzen - nur um sicherzugehen. Verwenden Sie dann die folgenden Tricks, um den Router vor weiteren Angriffen zu schützen.
Härten Ihres Routers gegen Angriffe
Sie können Ihren Router gegen diese Angriffe sicherlich etwas härten. Wenn der Router Sicherheitslücken hat, die der Hersteller nicht gepatcht hat, können Sie ihn nicht vollständig sichern.
- Firmware-Updates installieren : Stellen Sie sicher, dass die neueste Firmware für Ihren Router installiert ist. Aktivieren Sie automatische Firmware-Updates, wenn der Router dies anbietet - die meisten Router leider nicht. Dies stellt zumindest sicher, dass Sie vor Fehlern geschützt sind, die gepatcht wurden.
- Deaktivieren des Remote-Zugriffs : Deaktivieren Sie den Remote-Zugriff auf die webbasierten Verwaltungsseiten des Routers.
- Ändern des Passworts : Ändern Sie das Passwort in die webbasierte Administrationsoberfläche des Routers, damit Angreifer nicht einfach mit dem Standard-Passwort in Kontakt treten können.
- Ausschalten von UPnP : UPnP war besonders anfällig. Selbst wenn UPnP auf Ihrem Router nicht angreifbar ist, kann eine Malware, die irgendwo in Ihrem lokalen Netzwerk ausgeführt wird, UPnP verwenden, um Ihren DNS-Server zu ändern. So funktioniert UPnP - es vertraut allen Anfragen aus Ihrem lokalen Netzwerk.
DNSSEC soll zusätzliche Sicherheit bieten, ist aber kein Allheilmittel. In der realen Welt vertraut jedes Clientbetriebssystem nur dem konfigurierten DNS-Server. Der böswillige DNS-Server könnte behaupten, dass ein DNS-Eintrag keine DNSSEC-Informationen enthält oder dass er über DNSSEC-Informationen verfügt und dass die IP-Adresse, die weitergegeben wird, die tatsächliche ist.
Bildnachweis: nrkbeta auf Flickr